Chinesischer Bedrohungsakteur nimmt Mobiltelefone mit neuer Spyware ins Visier

Die äußerst aktive nationalstaatliche Gruppe APT41 wurde mit zwei bisher unbekannten Arten von Android-Spyware namens WyrmSpy und DragonEgg in Verbindung gebracht.

APT41, auch bekannt als Axiom, Blackfly, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda und Winnti, ist seit mindestens 2007 tätig und hat verschiedene Branchen für den Diebstahl von geistigem Eigentum ins Visier genommen.

Kürzlich nutzte APT41 ein Open-Source-Red-Teaming-Tool namens Google Command and Control (GC2) bei Angriffen auf Medien- und Jobplattformen in Taiwan und Italien.

Infektionsvektor basiert wahrscheinlich auf Social-Engineering-Tricks

Die ursprüngliche Methode des Eindringens in die mobile Surveillanceware-Kampagne ist unklar, es wird jedoch vermutet, dass es sich dabei um Social-Engineering-Taktiken handelt. WyrmSpy wurde erstmals im Jahr 2017 entdeckt, während DragonEgg erstmals Anfang 2021 identifiziert wurde. Neue Proben davon wurden erst im April 2023 entdeckt.

WyrmSpy tarnt sich oft als Standard-System-App, die für die Anzeige von Benachrichtigungen verantwortlich ist. Spätere Versionen der Malware wurden jedoch als Apps verpackt, die sich als Videoinhalte für Erwachsene, Baidu Waimai und Adobe Flash ausgeben. DragonEgg hingegen wurde über Android-Tastaturen und Messaging-Apps von Drittanbietern wie Telegram verbreitet.

Es gibt keine Hinweise darauf, dass diese Schad-Apps über den offiziellen Google Play Store verbreitet wurden.

Die Verbindung zwischen WyrmSpy, DragonEgg und APT41 beruht auf der Verwendung eines Command-and-Control-Servers (C2) mit der IP-Adresse 121.42.149[.]52, der mit der Infrastruktur der Gruppe verknüpft ist.

Nach der Installation fordern beide Malware-Arten Zugriffsberechtigungen an und verfügen über erweiterte Datenerfassungs- und -exfiltrationsfunktionen, einschließlich der Erfassung von Fotos, Standorten, SMS-Nachrichten und Audioaufzeichnungen der Benutzer.

Die Malware nutzt auch Module, die von einem C2-Server heruntergeladen wurden, der nicht mehr betriebsbereit ist, und ermöglicht so die Datenerfassung, ohne jedoch entdeckt zu werden.

WyrmSpy bietet die Möglichkeit, Security-Enhanced Linux (SELinux) zu deaktivieren und Root-Tools wie KingRoot11 zu nutzen, um erhöhte Berechtigungen auf gefährdeten Geräten zu erlangen. Insbesondere stellt DragonEgg eine Kommunikation mit dem C2-Server her, um ein unbekanntes sekundäres Modul abzurufen, das sich als forensisches Programm ausgibt.